本頁面由 Cloud Translation API 翻譯而成。

設定以憑證為依據的存取權

如要設定憑證式存取 (CBA)，您必須建立新的 CBA 存取層級、強制執行 CBA 存取層級，並在用戶端應用程式中啟用 CBA。

事前準備

請確認端點驗證 Chrome 擴充功能和端點驗證輔助應用程式已部署至所有需要存取 Google Cloud 資源的裝置。這些裝置會成為可授予存取權的信任裝置。

如要設定 CBA，請完成下列步驟：

建立新的 CBA 存取層級，在決定資源存取權時需要憑證。
使用下列任一方法，在資源上強制執行 CBA 存取層級：
- 如要限制對 VPC Service Controls 支援的 Google Cloud服務存取權，請建立具有 CBA 存取層級的 VPC Service Controls 範圍，然後將服務新增至範圍。如需詳細操作說明，請參閱「使用 VPC Service Controls 啟用以憑證為基礎的存取權」。
- 將 CBA 存取權層級繫結至您要限制存取權的使用者群組，藉此限制所有 Google Cloud 服務 (包括Google Cloud 控制台) 的存取權。如需詳細操作說明，請參閱「使用使用者群組啟用以憑證為基礎的存取權」。
強制執行 CBA 後，系統會拒絕未提供用戶端憑證的資源存取權。如要授予信任裝置的存取權，您必須確保用戶端能透過 mTLS 連線，正確地將憑證傳送至 Google API。您可以按照「在用戶端應用程式中啟用以憑證為基礎的存取權」一文中的程序，在 CBA 相容用戶端中啟用 CBA 功能。